Implementando o Argus (semelhante ao netflow) que tipo de informação devo coletar?

Estou configurando uma versão experimental do Argus na minha empresa como uma ferramenta de diagnóstico. Temos uma caixa de coletor anexada a uma porta de monitoramento em nosso switch, e o plano inicial é redirecionar as portas com tráfego incomum para o coletor e analisá-las para obter informações sobre a solução de problemas.

Eu preciso vender isso antes de poder lançar uma solução de monitoramento mais consistente, que sei que é a verdadeira força desse tipo de aplicativo.

Os relatórios iniciais estarão todos na linha de comando, portanto, reduzir as informações apresentadas para um nível gerenciável é fundamental.

A minha pergunta é a seguinte: tanto do ponto de vista da segurança como da resolução de problemas, que informações seriam mais valiosas? Quais relatórios devo ter pré-configurados?

Eu já pensei em:

• Listagem de endereço atualmente falando na porta (nosso mapa de rede é horrível)
• Distribuição de protocolo,
• fluxos atuais para um endereço IP específico

Talvez um em perda de pacotes ou conexões quebradas? (não tenho certeza se posso fazer isso)

Obrigado, gostaria de ter o pano de fundo para responder a isso, mas estou trabalhando muito para chegar lá.